NERC CIP（重要インフラ守る）－準拠の方法

NERC: A Quick Overview

North-American Electric Reliability Corporation は、非営利の海外政府機関であり、電力の信頼性と安全性に対するリスクを大幅に低減することを目的としています。

NERCは、システムの状況把握を通して、遵守すべき基準の策定・実施、季節的・長期的な変動の年次分析、関係者の研修・教育・認定を行いながら、電力業界の仕組みを丹念に評価しています。

NERCは、アメリカ本土、カナダ、そしてメキシコのバハ・カリフォルニア北部に権限を持っています。

地域の電力安定運用プログラムとして、NERCはFERCやEROといった当局の監督下にあり、同機関の管轄は、電力を供給する送電網の利用者、所有者、運営者すべてに及び、4億人以上の住民に電力を届けています。

NERC CIPとは？

NERC CIPとは、NERCが実施する非営利の国際規制組織によるCritical Infrastructure Protection、すなわち重要インフラを守るための指針です。この策は、北米の広域電力システム（BES）の安定運用を維持するため、規制・実施・管理の手法を示したもので、特にBESの安全対策に関するものです。

NERC CIPは、BESに影響する重要設備を特定し守る仕組みであり、サイバーセキュリティ対策を通して、効率的かつ確実なエネルギー供給を実現しています。

なぜNERC CIP準拠が重要なのか？

NERCおよび関連機関は、全利用者に確実かつ効率的な電力供給を行うため、基準の遵守を厳格に求めています。そのため、定期評価や検査を通じ、NERCの適合追跡・取り締まりプログラムによって、対象組織の基準遵守状況が記録・評価・維持されています。

北米の全対象組織はNERC CIPの基準を守る必要があり、従わなかった場合には違反として処罰やペナルティが課される可能性があります。なお、NERCは国際的な組織であるため、罰金額は国ごとに異なる場合があります。

産業用電力ネットワークの管理者、運営者、利用者は、遵守と安全という二大要素を満たし、NERC CIPの認定を受けなければなりません。大量エネルギー網が適切な電圧・周波数で電力を供給できる能力は「レジリエンス」と呼ばれ、利用者は電力に対して費用を払い、その供給に依存しています。

産業用電力会社は、予期せぬ障害や急激な需要増加に備え、需要と供給のバランスを常に保つ必要があります。

時とともに、NERC CIPの安全対策ニーズは進化してきました。当初は天候に起因する予期せぬ停電や接続不良への対応が中心でしたが、今日ではサイバーや物理的テロといった新たな脅威が加わり、攻撃者にとって狙い目となる重要設備が問題視されています。

その結果、ネットワークは人工的な脅威から守る必要があり、大量エネルギーシステム、セキュリティ担当者、ファイアウォールへの防御が大幅に強化されました。

‍

NERC CIP基準の歴史

NERC CIP基準の沿革は以下の通りです:

1. ‍1968

1968年、電力業界によりNERCが設立され、大量電力運用の管理指針が策定されました。当初、NERCの規範やルールは任意で、違反しても厳しい罰則はありませんでしたが、その有用性から多くの関係者が従っていました。

2. The shutdown of 2003

2003年、北米北部で大規模な停電が発生しました。米国記録上最大の停電であり、数々のミスや故障が連鎖して多くの人々に影響を及ぼしました。その後の調査で、電力インフラの安全対策強化が必要とされました。

3. ERO (2005)

2005年、大規模停電を受け、ERO（Electric Reliability Organization）が設立され、FERCから正式にNERCに電力の安定と安全の管理が委ねられました。

4. 2008: Order 706

NERCは、裁判所の支援と影響力を背景に、運用停止を防ぐための法令やルールを制定する権限を与えられ、2008年に最初の規定集 Order 706が発表されました。この規定集（CIP）は、エネルギー管理の指針として広く採用されました。

5. 2009: CIP-2

当初のCIP指針では電力ネットワークを十分に守るには不十分と判断され、2009年に多大な努力の末、CIP-2が策定され、初版の不明瞭な表現が大幅に改善されました。

6. 2010: CIP-3

2010年のCIP-3では、重要施設や設備へのアクセス管理に焦点が当てられ、CIP-2との間隔は短かったものの、その後すぐに電力関連の新たな課題に対応するためCIP-4の策定が進みました。

7. 2012: CIP-4

CIP-4では、NERCによる重要インフラの認定方法の変更が試みられ、多くの国内摩擦が生じましたが、交渉を経て合意に達し、FERCから改訂版CIPの認可が得られました。

8. 2013: CIP-5

2013年、CIP-4に続き速やかにCIP-5が策定され、実際の効力は規定遵守期限後から発揮され、業界の諸課題や追加の問題にも対応しました。

9. Emergency Action in 2014

その後数年間、CIPの大幅な改定は見られなかったものの、メトカルフ施設への攻撃が発生するまで安定していました。

複数の銃撃犯による発電機狙撃事件を契機に、これら施設のセキュリティに対する不満が上がり、NERCは90日以内に各種改定と新ルールを導入。北米全体の基盤防御を強化する新基準CIP-14を策定しました。

10. 2016: CIP-6

CIP-5制定後、次の指針の策定は急がれることはなく、数年の検討と改定を経て改訂版CIP-6が発表されました。

CIP-5とCIP-6の間隔が長かったため、多くの問題が深刻化しました。これに対応すべく、サプライチェーンの保護など、最新のサイバー攻撃対策が盛り込まれ、また規定の曖昧さを解消するための整理も行われました。

11. Mexico NERC CIP in 2017

2017年、NERCはメキシコにおいても法令と指針の施行を開始すると宣言し、同国のエネルギーおよびシステム運用を管理下に置きました。これは電力網同士の連携が背景にあります。

12. Extreme energy savings in 2018-19

2018年後半、一部の地域やネットワークで深刻なエネルギー問題が発生し、NERCはエネルギー効率向上のための指令を発出し、システム状態の改善に努めました。

‍

NERC CIPの要求事項

NERC CIPの基本指針および詳細規定は、事業部が重要設備の認定、規制体制の構築、論理的・物理的ネットワークの安全対策の実施、そしてサイバー事故後の被害回復措置を講ずるためのセキュリティ要求事項を示しています。

‍

NERC CIP準拠の主要チェック項目

主要なNERC CIP準拠チェックリストは以下の通りです:

CIP-002-5.1a BESサイバーシステムの分類

本基準の目的は、BESのコンピュータネットワーク（サイバー資産）の認定と分類を行い、誤作動やBESの不安定化につながる侵入から十分に守ることにあります。

分類では、電力供給途絶による影響の大きさ（影響の継続時間）に基づき各システムをランク付けします。評価は、原因ではなく途絶の持続時間により行われます。

本基準により、サイバー資産は以下の大分類に分けられます:

• リアル入室管理システム (PACS)
• 電子監視・アクセス制御機器
• 守るべきサイバー資産

CIP-003-8 セキュリティ管理対策

BESネットワークインフラが誤作動や不安定化を招く侵入から守られるよう、統一された長期的なサイバーセキュリティ対策を定め、責任体制を構築することを目的としています。

＜意味するところ＞：前述の対象設備を守るために実施しているセキュリティ対策を詳細に記述する必要があります。この段階は最重要で、CISOやセキュリティ担当者にとって、対策内容、責任者、実施状況を把握するために不可欠です。

CIP-004-6 人員と教育

本指針は、従業員および外部スタッフの教育を重視し、BESが人的要因によるサイバー脅威に晒されるリスクを低減することを目的としています。教育は以下の2部に分かれます:

サイバー防御の教育・知識向上

特に重要なBESシステムに関わる場合、全従業員は15ヶ月ごとに研修を受けなければなりません。

パスワード管理とリスク評価

これは、アクセス権限の管理とリスク評価の取り組みを含みます。

CIP-005-6 電子セキュリティ境界

統制された電子セキュリティ境界を定義し、オンラインでのBESコンピュータシステム及びネットワークへのアクセスを管理することで、誤作動や供給停止を引き起こす侵入から守ることを目的としています。

CIP-005は、CIP-002で示された重要設備へのインターネット接続の制限に焦点を当てています。工場の制御システムがネット接続される現代では、電力網への脅威が大幅に増加するため、その軽減が求められます。

これらの脅威を低減するためにCIP-005が策定され、特に接続領域の監視・保守、及びベンダーやその他第三者によるウェブ監視に重点が置かれています。

CIP-006-6 BESサイバーシステムの物理的安全

本基準は、物理的安全対策、来客管理、保守および点検手順など、具体的な対策について定めています:

‍物理的防御計画‍

定められた手順と日常の対策により、物理的な立ち入りを制限します.

‍来客管理方針

訪問者の管理について、警備の配置や最低90日間の記録保持などのルールが定められています.

‍保守・評価ツール

全PACSおよび物理セキュリティ境界は2年ごとに点検される必要があります.

CIP-007-6 システムセキュリティ管理

ESPs内の重要・非重要な全ネットワークを守るため、本基準は技術的、機能的、管理上の対策を示しています.

以下、その構成要素の一覧です:

• サービスとホスティング
• セキュリティ更新
• アクセス制限
• セキュリティ事案の追跡
• 脆弱性の回避

CIP-008-6 インシデント報告と対応計画

本基準は、以下の3つの重要な対応領域について規定しています:

サイバー事件への対応方針

サイバー事件の検出、分類、対応の手順を定めています.

対応方針の評価と実施

15ヶ月ごとに、対応方針の評価が実施される必要があります.

対応方針の評価、改定、情報共有

ネットワーク侵入発覚後90日以内に、方針の改定内容を主要関係者へ通知しなければなりません.

CIP-009-6 BESサイバーシステムの回復計画

回復計画の仕様

計画を実施すべき状況や、支援者の具体的な役割が定められています.

回復計画の実行と評価

15ヶ月ごとに、実際の対応訓練と演習をそれぞれ少なくとも一回行う必要があります.

回復計画の評価、更新、情報共有

実際の事件または演習発生後90日以内に、計画の見直し、更新、関係者への通知が求められます.

CIP-010-3 設定変更管理と脆弱性評価

本基準では、以下の3点が示されています:

設定変更の管理

ネットワーク、ソフトウェア、アプリに対する標準的な承認手続きを確立します.

設定の追跡

35日ごとに、無許可の変更がないか確認する必要があります.

脆弱性評価

15ヶ月ごとに、リスク評価を実施します.

CIP-011-2 情報保護

本指針は、意図的な不正使用、侵害、横領によりBESの運用に影響を及ぼす可能性のあるデータの認定基準を示すとともに、BESサイバー資産の再利用・廃棄や情報保護の手順についても定めています.

CIP-013-1 サプライチェーンリスク管理

BESシステム・ネットワークのサプライチェーンにおけるリスク評価のため、防御策を講じることで、情報セキュリティがBESの安定運用に及ぼすリスクを低減することを目的としています.

CIP-014-2 物理的安全

送電端末、発電所、およびそれに連なる最終制御施設を特定し、物理的攻撃により使用不能または損傷した場合のシステムの不安定化、無制御な分離や混乱を防ぐために守ることを目的としています.

‍

Conclusion

NERC CIPの準拠は、常に続く困難なプロセスです。責任を全うするため、各組織は定期的にセキュリティ対策を評価し、必要に応じて調整することが求められます。NERC CIPの基本を理解することで、システム全体と必要な対策が把握できるでしょう.

これは、進化するデジタル環境に合わせて常に改訂される骨の折れる作業であることを念頭に置き、NERC CIPや他の基準を指標とすることで、将来的な規制準拠が可能となると考えられます.